Криптолокер BTCware

[percolant 0]

Здравствуйте,

Есть ли возможность расшифровать сабж? В аттаче архив с четырьмя файлами: два зашифрованные + два чистые оригиналы. Большое спасибо.

[thyrex 1 411]

Ни единого шанса. Хотя файлы так и не прикрепили.

 

Потому только очистка от мусора, если в этом есть необходимость.

[percolant 0]

Я не уверен на 100%, что это именно btcware, файлы прикрепить прозевал, my bad, прикрепляю, можете, пожалуйста, глянуть и, хотя бы, подтвердить, что это btc. Спасибо.

avenir.zip

[thyrex 1 411]

Ну тогда лучше начать с Порядок оформления запроса о помощи

[percolant 0]

Система уже снесена и установлена чистая, остались только все зашифрованные файлы и кое-какие бекапы (основная масса бекапов также зашифрована), полагаю, что в первом и втором шагах из инструкции по ссылке необходимости уже нет

П.С. на самих данных я все-таки антивирус прогнал, но тот, разумеется, ничего не нашел.

[thyrex 1 411]

Ну тогда придется обождать. Возможно до окончания выходных

[percolant 0]

Спасибо и на том

[thyrex 1 411]

Скорее всего оба варианта таки не BTCware, а разновидности чего-то нового. Как получили шифрование?

[percolant 0]

Гадость поймал кто-то из сотрудников, скорее всего, посредством мыла, например. Когда сабж добрался до сервера, система накрылась и все зашевелились. Касательно бекапов все как-то лениво полагались на GDrive, куда это всё, естественно, также попало. Только что навел справки по поводу файлов, оказалось: все зашифрованные файлы имеют расширение .blind (один из тех, что я послал), файл с разширением .btcware получился в результате переименования одного из файлов с .blind вручную одним из сотрудников, который пытался это всё самостоятельно расшифровать и где-то там что-то вычитал.

Файл с инфой о том, куда деньги слать называется How_Decrypt_Files.hta (могу прислать, если нужно, там есть публичный AES)

[thyrex 1 411]

Файл с инфой о том, куда деньги слать называется How_Decrypt_Files.hta (могу прислать, если нужно, там есть публичный AES)

Да, пришлите в архиве

 

Гадость поймал кто-то из сотрудников, скорее всего, посредством мыла, например

И ушел в полную несознанку?

 

Не исключен и вариант захода по RDP. Постарайтесь найти зашифрованный файл, который был зашифрован первым, чтобы понять время начала шифрования.

[percolant 0]

файл с инструкцией в аттаче.

 

 

И ушел в полную несознанку?

нет, думаю, можно навести справки. ажно в понедельник правда.

 

 

Не исключен и вариант захода по RDP.

Интересно. RDP там действительно был открыт и время от времени использовался, причем, похоже даже, что на стандартном порте...

 

Постараюсь узнать время заражения и прочие подробности как можно скорее, спасибо.

howto.zip

[percolant 0]

Похоже, заражение действительно произошло через службу. Пользовательские компьютеры не заражены, ни один. Заражен только сервер. На сервере вертелось RDP, которым пользовались, вроде как, исключительно в целях техобслуживания, следовательно, маловероятно, что кто-то мог открыть компрометированный мэйл.

 

Диск я прошерстил у себя под линуксом и, странное дело, access и modify таймстемпы не изменены, изменен change, самое старое значение которого висит на файле: C:\Program Files\Lenovo\Lenovo Mouse Suite\fsrremos.exe

 

В аттаче релевантный скриншот. Если нужно будет сам файл - напишите, пришлю.

[thyrex 1 411]

Поскольку система уже переустановлена и взлом был по RDP, то сейчас вся проблема с идентификацией упирается в наличие самого файла шифратора. На данный момент он в розыске около месяца даже у иностранцев. Если бы логи сервера уцелели, то можно было бы искать хвосты в них, а так сами понимаете, что все бесполезно. 

[percolant 0]

хмм, ясно, ладно, спасибо и на том